Nous parlons de la menace potentielle pour la sécurité et la confidentialité lors de l'utilisation de SMS.
"Historiquement"
Ceux qui sont tombés sur un téléphone portable pour la première fois, en plus des appels, ont découvert la présence de courts messages texte. Et si au départ les messages étaient souvent utilisés pour échanger des informations sans la participation d'un opérateur en direct (rappelez-vous un téléavertisseur), ils sont désormais devenus le principal outil de notification et de vérification.
Nous avons mené une enquête thématique sur notre
canal télégramme :
Résultat: 87% utilisent SMS . Ce n'est pas évident pour tout le monde, mais la réponse «
Uniquement pour recevoir des notifications » menace encore plus la confidentialité que la correspondance par SMS avec quelqu'un qui n'a pas de messagerie instantanée. Félicitant un parent en vacances, vous pensez à ce que vous écrivez. Qui envoie des notifications - non.
L'échantillon est modeste, mais en grand nombre, la différence sera insignifiante.
Menace n ° 1: dépenses non autorisées
Il y a régulièrement des histoires sur les abonnements automatiques aux services payants. Le mois dernier
, Habré a parlé du mégaphone :
Il y a un an Ă
propos de MTS sur Medusa :
Pour comprendre l'étendue du problème:
Menace n ° 2: sécurité du compte
Vous perdez une carte SIM, postulez avec un passeport au salon d'un opérateur mobile, un employé délivre une nouvelle carte avec votre numéro en une minute. Le scénario habituel? Il peut faire la même chose de son plein gré, à votre insu, si le bénéfice dépasse les conséquences et la probabilité de punition.
Mais la
réémission de cartes SIM par un faux proxy est nettement plus populaire. Conscients du problème, les opérateurs mobiles proposent de se protéger en
interdisant les actions au nom de l'abonné par procuration. Bien qu'ils puissent résoudre le problème à l'échelle mondiale en définissant une interdiction par défaut.
Étant tombé entre de mauvaises mains, votre numéro devient la clé du courrier, des messageries instantanées et de nombreux instruments de paiement. C'est là que la récupération ou la vérification de l'accès via SMS est utilisée.
La bonne nouvelle est que la plupart des banques modernes peuvent suivre le fait d'un changement de carte SIM, ce qui signifie qu'elles ne seront pas autorisées à accéder à la banque Internet et qu'elles n'enverront pas de code de confirmation de paiement en ligne. Au moins jusqu'à ce que vous confirmiez le changement de carte dans le service ou par téléphone. Mais n'oubliez pas que les inscriptions sur le «Pack Printemps» sont conservées par l'opérateur pendant six mois, et là , entre autres, il y a vos réponses aux «questions secrètes».
Les services rĂ©pressifs peuvent Ă©galement prendre le contrĂ´le de vos SMS, comme nous l'avons dĂ©jĂ
mentionné précédemment. Sans réémission d'une carte SIM et complètement invisible pour l'abonné
Menace 3: Confidentialité
Voici la partie amusante.
Notifications des entreprises : services en ligne, restaurants, clubs, cliniques, magasins, services de livraison, covoiturage. Beaucoup signent leurs messages, ce qui signifie que vous pouvez déterminer immédiatement quels services le client utilise. Vous pouvez imaginer par vous-même la quantité d'informations personnelles contenues dans ces messages.
Notifications des banques . De tels messages, vous pouvez obtenir des informations:
• sur les soldes des comptes;
• sur les retraits et la reconstitution dans lesquels les distributeurs automatiques de billets;
• sur votre chiffre d'affaires total pour toute période;
• sur les dépôts: montant, durée, intérêts payés;
• À propos des prêts approuvés, de leurs paiements et de leurs dettes;
• sur les cartes émises, sur une partie de leur numéro, et parfois sur une partie ou un code PIN entier;
• sur toutes les transactions de l'utilisateur, ses achats;
• sur le paiement des factures;
• sur les transferts à d'autres personnes, y compris leurs noms et numéros de compte.
Et ce que l'opérateur économise n'est protégé par aucun «secret bancaire».
Les informations collectées vous permettent de créer un profil client complet et personnalisé. Les analyses ne nécessitent pas beaucoup de ressources: les informations textuelles sur les modèles, les mots clés et le type de destination sont facilement traitées par des algorithmes.
Un tel profil offre des opportunités presque illimitées à l'opérateur et à toute autre personne ayant reçu un accès non autorisé, y compris une fuite de base de données.
À propos des fuites sur @dataleakOuvrez votre SMS et voyez quelles informations vous partagez avec l'opérateur en clair.
Combien d'archives SMS sont stockées? Selon l'
enquĂŞte Mobile-Review - 3 ans,
selon Maxim Katz - au moins 2 ans.
Descendez de l'aiguille SMS - ce ne sera pas facile
Transactions financières
Nous passons Ă l'utilisation des notifications Push au lieu des SMS.
Exemple de scénario Alfa-Bank:
Une procédure similaire est disponible dans la plupart des autres banques avec des applications mobiles.
Confirmations de connexion au service
Nous utilisons des applications de vérification dans le smartphone (Google Authenticator et analogues), les cartes à puce, les jetons ou au moins la confirmation par e-mail d'un service de messagerie fiable.
La communication
Tous ceux avec qui vous communiquez par SMS peuvent être transférés vers des messagers sûrs ou relativement sûrs de fabrication étrangère. Montrez-leur personnellement que l'utilisation de messageries instantanées n'est ni effrayante ni douloureuse.
Deux options plus radicales
Pour discussion.
Utiliser une carte SIM étrangèreQuelques doutes sur la fiabilité de cette option:
- Ces SMS sont-ils disponibles en texte clair à l'opérateur local qui dessert un numéro étranger en itinérance?
- Les garde et devrait-il les garder légalement?
- Est-il obligé de fournir des informations sur les messages à ces numéros sur demande?
Si quelqu'un veut parler de la «cuisine intérieure» de ces problèmes, mais n'est pas prêt à le faire dans les commentaires publics, vous pouvez écrire anonymement dans notre
bot de télégramme marqué «pour Habr». Avec votre permission, nous ajouterons des informations anonymisées à l'article.
Rejet complet des SMSIl est difficile d'imaginer comment vivre avec. Mais dans notre vote, cette option a marqué 13% ...
Pouvez-vous refuser complètement les SMS?